把题目附件flag.pcapng下载后拿Wireshark或者科来打开

先尝试直接搜索字符串flag{没有结果
继续看数据包, 从协议可以看出这是FTP的流量包, 右键追踪一下TCP流
图片.png
能发现FTP的登录过程以及账号和密码都为test
图片.png
筛选下ftp-data
图片.png
可以从第一个数据包看出向服务器请求了文件列表
图片.png
在文件列表里可以看到有flag.txt文件
搜一下flag, 结果都为flag.txt并没有直接的flag, 可能经过编码
打开flag.txt的数据包, 发现有一行编码后的文本
图片.png
解码后发现假的flag
图片.png
查看flag.txt的上传数据包(提示: STOR上传RETR请求或者说下载)
图片.png
base64解码后又是一个假的flag......
估计结合了之前讲的图片隐写在图片里面
图片.png

将第一张图片universe.png追踪流, 选原始数据保存下来
图片.png

将第二张上传数据包中的new_universe.png一样保存下来
图片.png

提示: 这里有个坑, 在FTP过程中猜测可能出现了丢包或者断开连接现象, 导致重传, 有的数据流会不完整,导致保存的图片显示不完全, 所以选择在最后的一个数据包来追踪流, 确保保存下来的图片是完整的
保存的数据流不全

对比保存下来的图片大小, 发现new的比原来的图片大不少

图片.png

Stegsolve尝试对new图片进行LSB隐写, 拿到flag
图片.png

最后修改:2021 年 02 月 06 日 06 : 20 PM
如果觉得文章好的话打赏点让我吃个饭呗?